Maar die vlieger gaat niet langer op. Hackers worden steeds professioneler: het zijn niet langer script kiddies die het op onze netwerken gemunt hebben, maar echte IT-profs die zich laten inhuren door ofwel criminele organisaties of inlichtingendiensten. Of dat loont? Heel erg: volgens schattingen reven hackers in 2018 wereldwijd maar liefst een miljard dollar binnen. Tot overmaat van ramp verzwakken nieuwe coderingsprotocollen (DNSoH, TLSv1.3) de bestaande netwerkbeveiligingsmechanismen (webfiltering, indringingsdetectie, netwerk-antimalware enz.). Die protocollen maken de gebruikerscommunicatie wel vertrouwelijker, maar tegelijk staan ze de beveiligingsmechanismen die de netwerkpakketten lezen in de weg – er ontstaan dus mazen in het net. Hackers maken daar handig gebruik van: hun aanvallen zijn dan ook steeds gerichter.

Bij Dstny zijn we doordrongen van de wetenschap dat de wapenwedloop in alle hevigheid woedt. Criminelen werken koortsachtig aan hogere ladders en manieren om alsnog een bres te slaan in die dikke muren van onze firewalls. Er is dus geen andere optie dan die muren voortdurend dikker en steviger te maken. Maar we weten als geen ander dat we er met decryptie, TLS- en DNS-analyse alleen niet zullen komen. We moeten alternatieve manieren aanboren om onze netwerken veilig te houden:

• Eerst en vooral: ons gezond verstand gebruiken en bestaande preventieve beveiligingsmaatregelen versterken. Zoals: sterke authenticatie of scheiding van rechten en toestemmingen.

• Meer investeren in eindpuntbeveiliging, omdat deze mechanismen werken op het besturingssysteem (en daarvoor is geen netwerkdecodering vereist)

• Producten onderzoeken die gebruikmaken van artificiële intelligentie om afwijkingen in netwerkgedrag te identificeren (daarvoor is evenmin netwerkontsleuteling nodig). Als IPS en andere mechanismen die de netwerkinhoud inspecteren minder efficiënt worden, is dit de manier om die achteruitgang te compenseren.

Een van de meest doeltreffende oplossingen voor netwerksecurity is de zogenaamde next-generation firewall (NGFW) van PaloAlto. Dat laatste was zeker niet het eerste bedrijf dat firewalls aanbood, maar het ontpopte zich wel tot een stuwende kracht in de markt. PaloAlto was bovendien de eerste securityspeler die zogenaamde user- en application awareness implementeerde – lees: de mogelijkheid om filterregels aan te maken op basis van de gebruikersidentiteit en de toepassingsnaam (in plaats van ip-adressen en tcp/udp-poorten). Die toepassing heeft de manier waarop we een firewallbeleid ontwerpen drastisch veranderd. PaloAlto was voorts het eerste bedrijf dat een sandbox met een firewall verbond – een sandbox is een soort quarantaineruimte waarin je een diepgaande bestandsanalyse kunt uitvoeren; als het object is geïnfecteerd met malware, is er een grote kans dat je het detecteert, zelfs als het zero day-malware is. En nog belangrijker: de infectie heeft alleen impact op de virtuele omgeving van de sandbox, die na de analyse gewoon vernietigd wordt; de rest van het netwerk blijft sowieso intact. Kortom: PaloAlto maakte firewalls de afgelopen jaren hoger en dikker, en vooral: slimmer.

Ook vandaag zet PaloAlto nog altijd de toon in de markt: ze zijn de eerste leverancier van next-generation firewalls die kunstmatige intelligentie ging combineren met zowel een firewall als hun eigen eindpuntproduct – met name: het anti-malwareplatform Cortex XDR. Het spoort verdacht gedrag op, zoals de injectie van uitvoerbare code in geheugensegmenten. Het verzamelt ook alle mogelijke veiligheidsinbreuken afkomstig van hun firewallplatformen en endpoint-agents en voegt ze samen. Dankzij een statistische analyse van evenementen en mechanismen die gegevens verrijken kunnen we relevante waarschuwingen uitsturen, gebaseerd op gebruikersgedrag – daarmee sluiten we tegelijk de meeste valse positieven uit, en die zijn sowieso al de ergste nachtmerrie van beveiligingsbeheerders. De waarschuwingen zelf zijn bovendien gecontextualiseerd: we kennen de gebruikersnaam en de proces-ID van wie achter de verdachte actie zit; dankzij een timestamp weten we wanneer ze voorviel; we kennen de precieze machine, het IP-adres én de locatie; alsook de opeenvolging en omschrijving van de verdachte voorvallen. Daardoor kunnen we een gerichtere diagnose stellen én gerichtere herstelbewerkingen voorstellen. Om aanvallen en malware te detecteren, moeten we minder een beroep doen op het decrypteren van traffic.

Dankzij Palo Alto ziet de toekomst er voor beveiligingsingenieurs een pak minder beangstigend uit. De wapenwedloop is natuurlijk nog lang niet voorbij, maar de muur is – toch zeker voor afzienbare tijd – hoger en dikker.